在定量风险评估中,目标是试图为在风险评估与成本效益分析期间收集的各个组成部分计算客观数字值。 例如,您用替换成本、生产率损失成本、品牌名誉成本以及其他直接和间接商业价值来估计各个企业资产的真实价值。 计算资产暴露程度、控制成本以及在风险管理流程中确定的所有其他值时,尽量具有相同的客观性.
定量风险评估
在定量风险评估中,目标是试图为在风险评估与成本效益分析期间收集的各个组成部分计算客观数字值。 例如,您用替换成本、生产率损失成本、品牌名誉成本以及其他直接和间接商业价值来估计各个企业资产的真实价值。 计算资产暴露程度、控制成本以及在风险管理流程中确定的所有其他值时,尽量具有相同的客观性。
注:本节在一个较高层次介绍定量风险分析中的部分步骤,不是对使用安全风险管理项目中方法的说明性指导。
此方法有一些固有的难以克服的明显缺点。 首先,没有正式且严格的方法来有效计算资产和控制措施的价值。 换言之,尽管该方法可以向您提供更多详细资料,但财务价值实际上掩盖了数字是估计而来这一事实。 如何可以精确且正确地计算高度公开的安全事件可能对您品牌造成的影响? 如果可行,您可以检查历史数据,但通常情况下是不行。
其次,尝试过小心翼翼地应用各方面的定量风险管理的组织发现流程需要大量的成本。 此类项目通常需要非常长的时间来完成其全部周期,并且通常会出现员工对如何计算具体财务价值的详情发生争论的情形。 再次,对具有高价值资产的组织而言,暴露成本是如此之高,以致于您要用大量的资金来缓解您面临的任何风险。 然后这并不现实;组织不会用其整个预算来保护单一资产甚至前五个重要资产。
定量方法的细节
此时,一般性地了解定量风险评估的优点与缺点可能会有所帮助。 本节的其余部分介绍在定量风险评估中通常会评估的几个因素和价值,例如资产估价、成本控制、确定安全投资收益 (ROSI) 以及计算单一预期损失 (SLE) 、年发生率 (ARO) 和年预期损失 (ALE) 的值。 这并不意味着一个对定量风险评估的所有方法进行的全方位说明,只是该方法某些细节的简要说明,这样您便可以了解构成所有计算的基础的数字本身具有主观性。
评估资产
确定资产的货币价值是安全风险管理的一个重要组成部分。 业务经理通常会根据资产的价值来决定应该花多少钱和时间来保护资产的安全。 作为其业务连续性计划的一部分,许多组织都维护一份资产价值 (AV) 清单。 注意计算出的数字实际上是主观估计,但是不存在用来确定资产价值的客观工具或方法。 为了向资产指定价值,请计算下列三个主要因素:
? 对于您的组织该资产所具有的总价值。 从财务上计算或估算资产价值。 考虑这样一个简单示例,一个通常每周七天、每天 24 小时运行,平均每小时从客户订单获得 2000 元收入的电子商务网站临时中断的影响。 您可以自信地宣布该网站的年销售收入为 17,520,000 元。
? 资产损失对财务的直接影响。 如果有意简化示例并假定网站每小时的收益不变,同样的网站停用六个小时,则计算出的暴露系数为每年 0.000685%。 资产年价值乘以暴露百分比,可以预测此时直接损失是 12,000 元。 事实上,大多数电子商务网站视每天的不同时段、星期几、季节、营销活动和其他因素而有不同的收益率。 此外某些客户可能找到更喜欢从其进行购买的备选网站,因此网站可能会永久性地失去一些用户。 如果要进行精确计算并考虑所有潜在类型的损失,则计算收入损失实际上相当复杂。
? 损失该资产的间接业务影响。 在此示例中,公司估计将花费 10,000 元的广告费用,以抵消该事件造成的负面影响。 此外,公司也估计损失年销售额的 1%,即 17,520 元。 通过组合额外的广告支出和年销售收入损失,可以预计本案例的间接总损失为 27,520 元。
确定 SLE
SLE 是指发生一次风险引起的收入损失总额。 SLE 是分配给单个事件的金额,代表一个具体威胁利用漏洞时公司将面临的潜在损失。 (SLE 类似于定性风险分析的影响。)通过将资产价值与暴露系数相乘 (EF) 计算出 SLE。暴露系数表示成为现实的威胁对某个资产造成的损失百分比。 如果一个网络场的资产价值为 150,000 元,一场大火造成的损害占其价值的 25%,此时 SLE 为 37,500 元。 然而这是一个尽量简化的示例;可能还需要考虑其他支出。
确定 ARO
ARO 是一年中风险发生的次数,应合理预估该数字。 做出这些估计相当困难;只有极少的实际数据可供使用。 迄今为止收集的数据成为少数财产保险公司持有的私有信息。 为了估计 ARO,请利用以往的经验并请教风险管理专家以及安全和业务顾问。 ARO 类似于定性风险分析的可能性,其范围从 0 (从不)至 100%(始终)。
确定 ALE
ALE 是您的组织不采取任何减轻风险的措施在一年中可能损失的总金额。 SLE 乘以 ARO 即可计算出该值。 ALE 类似于定量风险分析的相对级别。
例如,如果此同一公司的网络场发生的火灾导致 37,500 元的损失,而火灾发生的可能性(或 ARO)的值为 0.1(表示每十年发生一次),则这种情况下的 ALE 值为 3,750 元(37,500 元 x 0.1 = 3,750 元)。
ALE 提供了一个价值,您的组织可以使用它来预算建立一种控制或安全措施以阻止此类损害 — 在本例中是每年 3,750 元或更少 — 并提供足够级别的保护需要多少成本。 为了知道需要花费多少钱来避免威胁的潜在后果的影响,量化风险的实际可能性和威胁造成的损失(以货币尺度计量)是重要的。
确定控制成本
确定控制成本要求精确估计购买、测试、部署、操作和维护各个控制措施所需的成本。 此类成本包含购买或部署控制解决方案、部署和配置控制解决方案、维护控制解决方案、向用户通告与新控制措施有关的新政策或程序、对用户和 IT 员工进行如何使用及支持控制措施的培训、监督控制措施、应对控制措施可能造成的不方便性或生产率损失。 例如,为了降低火灾损害网吧的风险,假设的组织可能考虑部署一个自动消防系统。 组织可能需要聘请一个承包商来设计和安装系统,然后需要持续监控系统。 组织还可能需要定期检查系统,并且偶尔补充系统使用的灭火剂。
ROSI
请使用以下等式估计控制成本:
实施控制前的 ALE)–(实施控制后的 ALE)–(年控制成本)= ROSI
例如,攻击者对 Web 服务器的威胁的 ALE 为 12,000 元,在实施了建议的安全措施后,估计 ALE 为 3,000 元。 安全措施每年的维护与操作成本为 650 元,因此,ROSI 为每年 8,350 元,如以下表达式所示:12,000 元 - 3,000 元 - 650 元 = 8,350 元。
定量风险分析的结果
定量风险分析的输入项目提供了明确定义的目标和结果。 前述几个步骤的结果通常得出以下各项:
? 分配给资产的货币值
? 详细的重要威胁列表
? 每个威胁发生的可能性
? 在 12 个月内每项危险对公司的潜在损失
? 推荐的安全措施、控制措施和行为
您已经了解所有这些计算都是建立在主观估计之上的。 为结果提供基础的关键数字并不是来自客观等式或定义良好的实际数据集,而是来自评估人员的意见。 AV、SLE、ARO 和控制成本均是参与者自己插入的数字(通常在多次讨论和折衷以后)。
定性风险评估
定性风险评估与定量风险评估的区别在于在前一方法中不用向资产分配难以确定的财务价值、预期损失和控制成本。 取而代之的是计算相对值。 通常通过调查表和合作研讨会的组合形式进行风险分析,涉及来自组织内各个部门的人员,例如信息安全专家、信息技术经理和员工、企业资产所有者和用户以及高级经理。 如果使用,调查表通常在第一次研讨会之前几天或几周内发放。 调查表专为发现已经部署了什么资产和控制措施而制定,收集的信息在随后举行的研讨会期间非常有用。 在研讨会中,参与者确定资产并评估资产的相对价值。 接下来,参与者尝试指出各个资产可能面临的威胁,然后尝试描述这些威胁在将来可能利用的漏洞类型。 信息安全专家和系统管理员通常准备好缓解风险的控制措施参加会议,以便各部门考虑并估计各个控制措施的成本。 最后,结果被交给管理层以便在成本效益分析期间进行考虑。
您可以看出,定性评估的流程非常类似于定量方法。 区别在于细节处。 一个资产和另一个资产的价值之间的比较是相对的,参与者不会用大量的时间来尝试为资产评估计算精确的财务数字。 计算转变为现实的风险的可能影响以及实施控制所需的成本也同样如此。
定性方法的优点是克服了为资产价值、控制成本等计算精确数字的挑战,流程对员工没有太高的要求。 定性风险管理项目通常在几周内即可开始显示重要的结果,然而选择定量方法的大多数组织历时数月甚至数年也看不到好处。 定性方法的缺点是得出的数字是含糊的;某些业务决策者 (BDM),特别是具有财务或会计背景的决策者,可能会对在定性风险评估项目中确定的相对值感到不适。
比较两种方法
安全风险管理的定性方法和定量方法都具有各自的优点与缺点。 某些情形会要求组织采用定量方法。 此外,小型组织或资源有限的组织可能会发现定性方法更适合他们的需要。 下表概括介绍了各个方法的优点与缺点:
表 2.1:各个风险管理方法的优点与缺点
在过去的几年里,定量方法似乎在安全风险管理中占据了主流地位;但是,随着越来越多的实践者承认严格遵守定量风险管理流程通常会导致困难的长期运行项目,但看不到什么有形好处,这种情形也出现了变化。